Het is tijd om de SaaS-bol van garen te ontwarren

Het is geen grote openbaring om te zeggen dat SaaS-applicaties de manier waarop we opereren hebben veranderd, zowel in ons persoonlijke als professionele leven. We vertrouwen routinematig op cloud-based en remote applicaties om onze basisfuncties uit te voeren, met als resultaat dat de enige echte perimeter van onze netwerken de identiteiten zijn geworden waarmee we inloggen op deze services.

Helaas – zoals zo vaak het geval is – overtrof onze honger naar betere workflows, samenwerking en communicatie onze bereidheid om ervoor te zorgen dat deze tools en processen veilig waren toen we ze aan onze omgevingen koppelden en onze controle over de beveiliging van onze gegevens overdroegen. Elk van deze toepassingen vraagt ​​om verschillende hoeveelheden machtigingen voor onze gegevens, die vaak afhankelijk zijn van de diensten van andere leveranciers, waardoor er geen netwerk ontstaat, maar een wirwar van onderling afhankelijke ingewikkeldheden die zo complex is geworden dat de meeste beveiligings- en IT-teams niet eens weten hoeveel SaaS-toepassingen er zijn aangesloten, laat staan ​​wat ze zijn of wat hun toegangsmachtigingen zijn.

Onze collectieve – en begrijpelijke – verleiding voor flexibiliteit en schaalbaarheid heeft ons gebracht waar we nu zijn: de meesten van ons kunnen in moderne bedrijven niet meer functioneren zonder SaaS-applicaties, omdat ze zo essentieel zijn geworden voor onze bedrijfsvoering, maar ze toch kwetsbaar blijken voor aanvallen op deze cloudgebaseerde services en applicaties.

Dreigingsactoren begrijpen het “as-a-service”-model net zo goed als iedereen en verkopen vaak Ransomware-as-a-Service op het dark web aan hun partners. Ze begrijpen dat aanvallen op deze externe SaaS-applicatieleveranciers niet alleen tot de kroonjuwelen van één bedrijf leiden, maar tot vele. We zagen een stijging van 68% in aanvallen van externe apps in 2023 en onderzoekers zijn het er allemaal over eens dat dit aantal alleen maar zal toenemen naarmate de acceptatie van SaaS blijft toenemen.

Gelukkig zijn er stappen die genomen kunnen worden om deze kluwen SaaS-garen, waar IT- en beveiligingsteams wereldwijd mee moeten dealen, te ontwarren.

Leer hoe u inzicht krijgt in de bestanden die openbaar worden gedeeld via uw SaaS-apps

Begrijp uw SaaS-omgeving en schaduw-IT

Het lijkt zo simpel: als je iets wilt beveiligen, moet je eerst weten dat het er is. Maar zoals we weten, is het nooit simpel als het om SaaS gaat.

Shadow IT – alle tools of programma’s die zijn geïnstalleerd en toegang hebben tot de gegevens van het bedrijf zonder dat de IT- en/of beveiligingsteams hiervan op de hoogte zijn – is wijdverbreid. Denk eens aan: wanneer iemand in marketing een nieuwe ontwerptool nodig heeft die beschikbaar is als SaaS-applicatie, logt hij in, geeft deze toegang tot uw gedeelde bestanden voor eenvoudige uploads en/of downloads, en wil hij niet via IT om goedkeuring vragen vanwege een aantal redenen (het duurt te lang, de applicatie kan worden afgewezen, ze hebben een strakke deadline, etc.). Deze applicaties hebben vaak immense hoeveelheden zichtbaarheid en machtigingen in bedrijfsgegevens zonder dat iemand aan de beveiligingskant zelfs maar weet dat ze bestaan ​​of op verdacht gedrag let.

Om de omvang van het probleem te begrijpen en een volledig beeld te krijgen van uw SaaS-omgeving, moeten we wat grove berekeningen uitvoeren.

  • De meeste bedrijven hebben gemiddeld ~500 zakelijke applicaties verbonden met hun omgeving.
  • Daarvan is ongeveer 49% goedgekeurd door IT/beveiliging en ~51% zijn niet-goedgekeurde aanvragen.
  • Elke applicatie heeft doorgaans 9 gebruikers per app
  • Als we het aantal gebruikers per applicatie (9) vermenigvuldigen met het aantal niet-goedgekeurde apps (~255), komt dat neer op een gemiddelde van 2.295 potentieel unieke aanvalsvectoren waar IT- en beveiligingsteams geen inzicht in hebben en waar kwaadwillenden maar al te graag misbruik van maken.

Daarom is het begrijpen van hoeveel applicaties er aan uw omgeving zijn gekoppeld, wat ze doen, wat hun rechten zijn en hun activiteit de belangrijkste stap. Deze rechten en toezicht moeten ook continu plaatsvinden: u weet nooit wanneer iemand IT omzeilt en een nieuwe app of service toevoegt en deze volledige toegang tot uw gegevens verleent.

Ontdek alle applicaties die met uw gegevens zijn verbonden, inclusief schaduw-apps

Sluit de open wegen naar uw gegevens af

Zodra u grip hebt op uw applicaties, is het tijd om uw permissies te modelleren en ervoor te zorgen dat deze applicaties en gebruikers niet te veel permissies hebben. Dit vereist ook constante monitoring: vaak veranderen deze applicaties hun permissiestructuren om meer toegang te vereisen zonder dat duidelijk te maken.

Onlangs heeft de reeks opvallende inbreuken die allemaal verband houden met cloudopslagleverancier Snowflake, laten zien hoe kwetsbaar organisaties vaak zijn in dit opzicht. Ticketmaster, Santander Bank en Advance Auto Parts werden allemaal het slachtoffer van dezelfde aanval, die het resultaat was van eerdere gestolen inloggegevens, een externe opslagprovider (Snowflake) die toeliet dat deze cloudopslagkluizen werden opgezet zonder een IDP of MFA, en bedrijven die best practices omzeilden om hun enorme hoeveelheid gegevens alleen met wachtwoorden te beschermen.

Om de eerste stap te zetten in het beveiligen van hun SaaS-ecosysteem, moeten bedrijven het in wezen in kaart brengen: alle verbonden apps, bijbehorende identiteiten en acties begrijpen. Dit kan arbeidsintensief zijn en het is slechts het topje van de ijsberg. Er is ook hoop dat werknemers die schuldig zijn, de waarheid vertellen over het gebruik van een niet-gesanctioneerde app.

Om een ​​inbreuk te voorkomen, moeten bedrijven:

  • Weet alles over alle gebruikte SaaS-applicaties (zowel de bekende als de onbekende), met name die met diepgaande toegangsbehoeften of die bedrijfseigen/klantgegevens bevatten
  • Zorg ervoor dat risicovolle applicaties worden beschermd met IDP, MFA, etc.
  • Zorg ervoor dat gebruikers van die applicaties niet te veel privileges hebben
  • Wees gewaarschuwd en kan snel actie ondernemen wanneer de applicaties en/of gegevens via hen op verdachte manieren worden benaderd en/of verplaatst

Dit type toegang, toestemmingen en gebruiksmonitoring hebben het extra voordeel dat ze uw bedrijf helpen om te voldoen aan een groot aantal instanties en/of toezichthouders. Als uw gegevens worden geschonden door een inbreuk van een derde partij, wordt het niet goed ontvangen als u niet weet wat de applicatie en de toegang tot de gegevens zijn. Dit type monitoring mag ook niet ten koste gaan van de bruikbaarheid, zoals we zien in onze huidige situatie van ongebreidelde schaduw-IT.

Ontdek hoe u op de hoogte kunt worden gesteld van gebruikers zonder MFA ingeschakeld in uw SaaS-apps

Tot slot: beveilig de manier waarop uw bedrijf werkt

Het is duidelijk dat SaaS-applicaties hier zijn om te blijven, van sales enablement tot databasebeheer tot AI-tools. Het is spannend en heeft ons kansen geboden om op nieuwe, innovatieve manieren en plaatsen te werken. Nu we dit erkennen, is het ook tijd om de SaaS-bol van garen die onze omgeving is geworden, te ontwarren.

Naarmate bedreigingsactoren steeds meer van deze knooppunten van falen en afhankelijkheid in deze kluwen vinden, zullen ze er beter in worden om ze te exploiteren met grotere – en meer verwoestende – inbreuken. Hoe meer we prioriteit geven aan het beveiligen van de manier waarop we daadwerkelijk werken, hoe meer we kunnen bereiken.

Opmerking: Dit artikel is vakkundig geschreven en bijgedragen door Dvir Sasson, directeur beveiligingsonderzoek bij Reco.

Thijs Van der Does